第7章－访问控制列表.pptVIP

7.1.6 ACL条件顺序（The order in which ACL statements are placed ） Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。 The Cisco IOS software tests the packet against each condition statement in order from the top of the list to the bottom. Once a match is found in the list, the accept or reject action is performed and no other ACL statements are checked 常见端口号（补充）（Known Port Number） 端口号(Port Number) 备注 20 文件传输协议（FTP）数据 21 文件传输协议（FTP）程序 23 远程登录（Telnet） 25 简单邮件传输协议（SMTP） 69 简单文件传输协议（TFTP） 80 超文本传输协议(HTTP) 53 域名服务系统（DNS） 7.1.7 ACL表号（ACL Number ） 协议（Protocol） ACL表号的取值范围（ACL Range） Standard IP （标准ACL） 1-99 Extended IP （扩展ACL） 100-199 AppleTalk 600-699 IPX（互联网数据包交换） 800-899 Extended IPX(扩展互联网数据包交换) 900-999 IPX service Advertising Protocol (IPX服务通告协议) 1000-1099 7.1.8 通配符掩码（Wildcard Mask ）（补充） 1.是一个32比特位的数字字符串 (A wildcard mask is a 32-bit quantity) 2.0表示“检查相应的位”,1表示“不检查（忽略）相应的位” A zero means let the value through to be checked, the X’s (1’s) mean block the value from being compared. 特殊的通配符掩码（Special Wildcard Mask ） 1. permit any = permit 55 2. permit host permit 9 = permit host 9 7.2 标准 ACL （ Standard ACL ） 标准 ACL （ Standard ACL ） 检查源地址（Checks Source address ） 允许或拒绝整个协议族（Generally permits or denies entire protocol suite） Outgoing Packet fa0/0 S0/0/0 Incoming Packet Access List Processes Permit? Source 标准 ACL （ Standard ACL ） 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表 标准ACL 命令（Standard ACL Command ） Step 1:定义访问控制列表（Define the ACL） access-list access-list-number permit|deny [source address] [wildcard mask] [log] Router(config)# Router(config)#access-list 1 permit 55 Step 2:将访问控制列表应用到某一接口上 （Apply ACL to a Interface） { protocol } access-group access-list-number {in | out} Router(config-if)# Router(config-if)# ip access-group 1 out 标准ACL 命令（Standard ACL Command ） 仅允许我的网络（Permit my network only） Router(config)# access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny